NetWorker:authc_configスクリプトを使用してLDAP/ADをセットアップする方法
Summary: このKBでは、authc_config スクリプト テンプレートを使用してLDAP/AD認証を追加する方法の基本的な概要について説明します。Active Directory(AD)またはLinux LDAP認証は、デフォルトのNetWorker管理者アカウントまたは他のローカルのNetWorker管理コンソール(NMC)アカウントと一緒に使用できます。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
次のプロセスでは、スクリプトを使用してNETWorkerにADまたはLDAP認証を追加する方法について説明します。その他の方法については、このKBの「追加情報」セクションを参照してください。
NetWorkerサーバーの次のパスにあるスクリプト テンプレートを使用できます。
構文:
スクリプトが入力されると、NetWorkerサーバーのコマンド ラインからスクリプトを実行できます。 スクリプトが成功したら、次のコマンドを実行して、NetWorkerサーバーがADで認証できることを確認できます。
NetWorkerサーバーの次のパスにあるスクリプト テンプレートを使用できます。
Windowsの場合:C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linuxの場合/opt/nsr/authc-server/scripts/
メモ: Adスクリプトは、Windows ADコントローラーが認証に使用される場合に使用され、ldapスクリプトはlinux/unix認証用です。を実行する前に、ファイル名から.templateを削除する必要があります。これらのスクリプトが存在しない場合は、次の情報を使用して.sh(Linux)または.bat(Windows)を作成できます。
構文:
call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
メモ: 内<>のスクリプト内の任意の値を変更する必要があります。内部<>にない値はそのまま残すことができます。
| config-tenant-id | テナントは、複数の認証方法を使用できる環境や、複数の認証機関を構成する必要がある場合に使用できます。AD/LDAPサーバーが1つだけ使用されている場合は、テナントを作成する必要はありません。デフォルトのテナントである config-tenant-id=1 を使用できます。テナントを使用すると、ログイン方法が変更されることに注意することが重要です。デフォルト テナントを使用する場合は、「domain\user」を使用してNMCにログインできます。デフォルト テナント以外のテナントを使用する場合は、NMCにログインするときに「tenant-name\domain\user」を指定する必要があります。 |
| config-active-directory | Microsoft Active Directory(AD)サーバーを使用している場合: y LDAPサーバーを使用している場合(例: OpenLDAP: N メモ:2つの異なるスクリプト テンプレート「authc-create-ad-config」 と「authc-create-ldap-config」があります。使用中の認証プラットフォームに正しいテンプレートを使用していることを確認します。 |
| config-name | この名前は、NetWorkerに追加される認証構成の識別子のみです。 |
| config-domain | これは、NetWorkerへのログインに使用されるドメイン名です。たとえば、「emclab.local」は「emclab」に設定できます。これは、AD/LDAPと統合されたワークステーションおよびシステムへのログイン方法に合わせて設定できます。 |
| config-server-address | <protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol:
ホスト名/IPアドレス:
|
| config-user-dn | LDAPまたはADディレクトリへの完全な読み取りアクセス権を持つユーザー アカウントの完全なDN(識別名 )を指定します。例: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com |
| config-user-dn-password | config-user-dnで指定されたアカウントのパスワードを指定します。 |
| config-user-search-path | このフィールドは空白のままにしておくことができます。この場合、authcはドメイン全体をクエリーできます。これらのユーザー/グループがNMCにログインしてNetWorkerサーバーを管理するには、引き続きNMC/NetWorkerサーバー へのアクセス権を付与する必要があります。config-server-address でベースDNが指定されている場合は、ドメインへの 相対パス(ベースDNを除く)を指定します。 |
| config-user-id-attr | LDAPまたはAD階層内のユーザー オブジェクトに関連づけられているユーザーID。
|
| config-user-object-class | LDAPまたはAD階層内のユーザーを識別するオブジェクト クラス。 たとえば、inetOrgPerson(LDAP)またはユーザー(AD) |
| config-group-search-path | config-user-search-pathと同様に、このフィールドは空白のままにすることができます。この場合、authcはフル ドメインのクエリーを実行できます。config-server-address でベースDNが指定されている場合は、ドメインへの 相対パス(ベースDNを除く)を指定します。 |
| config-group-name-attr | グループ名を識別する属性。例: cn |
| config-group-object-class | LDAPまたはAD階層内のグループを識別するオブジェクト クラス。
|
| config-group-member-attr | グループ内のユーザーのグループ メンバーシップ。
|
| config-user-search-filter | (オプション)NetWorker認証サービスがLDAPまたはAD階層でユーザー検索を実行するために使用できるフィルター。RFC 2254 はフィルター形式を定義します。 |
| config-group-search-filter | (オプション)LdapまたはAD階層でグループ検索を実行するためにNetWorker認証サービスが使用できるフィルター。RFC 2254 はフィルター形式を定義します。 |
| config-search-subtree | (オプション)外部機関がサブツリー検索を実行するかどうかを指定する yes または no 値。 デフォルト値: no |
| config-user-group-attr | (オプション)このオプションは、ユーザー オブジェクトのプロパティ内のユーザーのグループ メンバーシップを識別する構成をサポートします。たとえば、ADの場合は、 memberOf 属性を指定します。 |
| config-object-class | (オプション)外部認証機関のオブジェクト クラス。RFC 4512 はオブジェクト クラスを定義します。デフォルト値: objectclass。 |
Example:
call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
スクリプトが入力されると、NetWorkerサーバーのコマンド ラインからスクリプトを実行できます。
C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.
構文:nsrlogin -t tenant -d domain -u user
Example:
nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded
認証が成功した場合は、NetWorkerサーバーで次のコマンドを実行して、AD NetWorker/バックアップ管理者グループのDN( 識別名
)を収集します。
)を収集します。
構文:
authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name
Example:
authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
NetWorker/バックアップ管理者グループのDNを収集します。
NMCにデフォルトのNetWorker管理者アカウントとしてログインします。[Setup-Users> and Roles-->NMC Roles]で、上記のステップから収集した グループDN を、そのADグループに適したロールの[External Roles]フィールドに追加します。フル管理者には、「Console Application Administrator」と「Console Security Administrator」のロールが必要です。(これらのロールの詳細については、『 NetWorkerセキュリティ構成ガイド 』を参照してください)。
NMCにデフォルトのNetWorker管理者アカウントとしてログインします。[Setup-Users> and Roles-->NMC Roles]で、上記のステップから収集した グループDN を、そのADグループに適したロールの[External Roles]フィールドに追加します。フル管理者には、「Console Application Administrator」と「Console Security Administrator」のロールが必要です。(これらのロールの詳細については、『 NetWorkerセキュリティ構成ガイド 』を参照してください)。
これにより、ADユーザーがNMCコンソールにログインして管理できるようになります。ただし、NetWorkerサーバー上でこれらのユーザーに権限を付与する必要があります。デフォルトのNetWorker管理者アカウントとして、NetWorkerサーバーに接続します。Server-User> Groups で、 そのADグループに適したロールの[External Roles]フィールドにグループDNを追加します。フル管理者には、「アプリケーション管理者」および「セキュリティ管理者」権限が必要です。
NMCとNetWorkerサーバーの両方の[外部ロール]フィールドにADグループDNを追加したら、ADアカウントを使用してNMCにログインを試みます。
AD/LDAPユーザー名にログインすると、NMCの右上隅に次のように表示されます。
Additional Information
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000158322
Article Type: How To
Last Modified: 10 Oct 2023
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.